Screen shot 2011 04 19 at 7 48 38 PM

Screen shot 2011 04 19 at 7 48 05 PM

 

baekdal tiene un excelente artículo donde sostiene que usar una contraseña compuesta de 3 palabras simples (y fáciles de recordar), no sólo es más sencillo para nosotros, humanos, sino que además, tiene la propiedad de ser más seguro.

La idea, es utilizar una contraseña que sea segura frente a los tres métodos más comunes de ataque: fuerza bruta (utilizando el CPU / GPU de una PC para probar todo tipo de combinaciones), palabras comunes, o palabras de un diccionario.

Una de las recomendaciones más usuales, es la de utilizar una combinación de mayúsculas / minúsculas, símbolos y números. Por eso, una contraseña como J4fS<2 – la del ejemplo, tomaría 219 años en se descubierta. El problema? Que pedirle a alguien que se memorice la contraseña es complicado.

Lo que baekdal propone, por lo tanto, es utilizar una combinación de tres palabras que podamos recordar, algo simple y que podamos escribir rápido.

En las pruebas realizadas (con 100 requests por segundo), una contraseña tan sencilla como this is fun podría tardar 2,537 años en ser descubierta (con un ataque de palabras comunes)

Screen shot 2011 04 19 at 7 55 42 PM

Lo esencial? Los espacios entre caracteres, que a su vez, actúan como caracteres especiales para la contraseña. No se les ocurra usar “thisisfun”, ya que reduce considerablemente el número de caracteres, además de no usar ningún caracter especial.

Si se topan con una página que no deja utilizar espacios en la contraseña, pueden hacer uso de guiones como se muestra en la imagen de arriba (además de palabras inexistentes). La idea, finalmente, es elegir tres palabras, separadas por un espacio, que podamos recordar fácilmente, pero que no sea fácil de deducir / relacionar.

 

Interesante, verdad?

No se olviden de leer el artículo completo.

Y como complemento, el FAQ escrito recientemente

 

 

 

  • Joshua

    Interesante articulo , pero utilizando tablas rainbow podrías encontrar el password en mucho menos tiempo seria cuestión de que las bajaras. Ahora usando la tecnología del GPU para usar todos los procesadores podrías reducir aun mas el tiempo eso sin contar que los CPU van duplicando mucho sus cores y threads así que en un futuro me imagino que las contraseñas quedaran obsoletas y usaremos un certificado digital como lo hacemos en la intranet del trabajo.

  • @Joshua
    De acuerdo contigo, una sola contraseña ya no basta para realmente estar seguros. Por eso el 2 step authentication usado por Gmail y ahora Facebook me parece una alternativa más interesante

  • “El problema? Que pedirle a alguien que se memorice la contraseña es complicado.”

    No es complicado si usas recursos mnemotécnicos.

    Mis contraseñas usan mayúsculas, minúsculas, números y símbolos especiales, pero no se me dificulta nada recordarlas porque las asocio a frases, versos, o parte de letra de canciones. Eso facilita bastante recordarlas.

    Para crear una contraseña así, digamos que a uno le gusta la música de Milly Vanilly. Tomamos parte de la letra de Girl you know it’s true, concretamente cuando dice: Girl you know it’s true, I love you. Tomamos solo la primera letra de cada palabra, y nos queda: Gykitily. Podemos hacer ciertas sustituciones como cambiar la Y de you por una U mayúscula. Nos queda: GUkitilU. cambiamos las íes por unos, nos queda: GUk1t1lU. Separamos el girl you know it’s true del i love you con un símbolo especial, y nos queda: GUk1t/1lU.

    Podría seguir haciendo la contraseña más y más compleja, pero para la mente seguiría siendo fácil de recordar porque tiene un significado asociado. Un tercero la ve y no podría recordarla. Y romper algo así por fuerza bruta tomaría bastante.